注册 登录  
 加关注
查看详情
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

青新的博客

记录工作点滴 分享学习快乐 享受家庭温馨

 
 
 

日志

 
 
 
 

w32.spybot.worm(symantec)w32.Gaobot.worm(ED) 感染->发作->清除记录  

2007-01-13 09:01:35|  分类: Windows |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

感染(2007年1月4日)
症状:
A、装有VNC SERVER端的电脑被不知名用户控制,并在当前使用窗口内输入英文字母,打开DOS窗口,使用FTP或TFTP至内部IP及外部IP上抓CLI.exe文件,整个过程第一次看到时,我还以为是内部同事在搞恶作剧,以控制用户的电脑开玩笑。
B、同时邮件无法收发,提示找不到邮件服务器,网页无法访问,也提示找不到服务器。
C、进入DOS窗口,运行netstat查看系统连线状态,不看不知道一看吓一跳,连线状况闪了好几屏才显示完,连线对方的IP为未使用过的C类网段IP,以192.168.XX.XX(非我公司及整个集团所使用过的IP)。
D、使用symantec查毒,可查出病毒文件为c:\windows\system32\CLI.exe,病毒名称为w32.spybot.worm,但是无法对其进行处理,(鄙视symantec)。使用资源管理器无法找到CLI.exe文件,使用google搜索CLI.exe相关资料,google全部显示为与ATI有关的什么程序,根本就没有搜到什么病毒的信息,看来是w32.spybot.worm的最新变种,也有找到以前清除此病毒的方法,修改注册表,删除其中与CLI.exe有关的键值,结束系统中的CLI.exe进程,使用压缩与解压缩软件找到CLI.exe文件,然后删除,此时系统可恢复正常,所以服务器全部正常邮件及网页均可浏览,系统连线状态也变为正常状态,可一旦用户重启系统或者注消后重新登入,状况依旧。暂时没有办法解决,台北总公司也有打电话和台北的symantec公司联系,请求支援。symatec也有提供当时的权宜之计,但还是未能解决病毒,为了公司的办公继续进行,只有告知用户每次开机时结束CLI.exe进程。
E、更严重的情况是,公司杀毒服务器symantec服务器端竟然也被此病毒感染,无法启动,真是厉害,我们对系统进行重装,然后重新布署symantec服务器,试图利用服务器进行客户端symantec软件分发安装,没想到的是病毒竟然把symantec服务器端用来分发客户端安装的端口给屏蔽了。那我们就到用户的电脑上去安装,可是安装完成后,还是一样的情况无法与symantec服务器端联系上,病毒库为初始版本。并且无法受 symantec服务器端管理。这病毒还真厉害。
清除办法:
没有办法了,死马当活马医,我们找了一台中毒的电脑做实验,在上部安装的各种市面上的杀毒软件,都没有效果。就这样我们坚持了几天,到了2007年1月9日台北同仁给我们发了好消息,mcafee提供给了他们一套试用版8.0i软件并且有一个专门杀此病毒的扩展病毒码文件extra.dat,在一台已经中毒的电脑上安装好了之后,哇!查出来了,并且清除成功,哈哈,有救了,就这样装了几台中毒的电脑慢慢的处理。虽然比较麻烦,不过还好,可以查杀了,到了2007年1月10日时symantec的最新更新包也可以查杀此病毒了。真是一个迟钝的家伙。不过可以查了也算不错了,我们就不用再装试用版的软件了,直接装上symantec客户端,由服务器端直接分发更新包,更新完成后,此病毒查杀成功。

  评论这张
 
阅读(433)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018